CN111885064B - 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 - Google Patents
基于多源数据的安全事件分析方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN111885064B CN111885064B CN202010722605.7A CN202010722605A CN111885064B CN 111885064 B CN111885064 B CN 111885064B CN 202010722605 A CN202010722605 A CN 202010722605A CN 111885064 B CN111885064 B CN 111885064B
- Authority
- CN
- China
- Prior art keywords
- information
- security
- security event
- event
- feature information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Medical Informatics (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及一种基于多源数据的安全事件分析方法、装置、电子装置和存储介质,其中,该基于多源数据的安全事件分析方法包括:从计算机的多个数据源获取数据源信息;从数据源信息中提取与安全事件相关的特征信息;使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件;在从预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。通过本申请,解决了相关技术中计算机的网络安全性低的问题,实现了提高计算机的网络安全性的技术效果。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及基于多源数据的安全事件分析方法、装置、电子装置和存储介质。
背景技术
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
随着计算机技术以及网络技术的飞速发展,人们对于网络越来越依赖,网络安全问题已日渐成为成为当今社会关注的热点问题。在网络日渐发达的今天,网络安全事件愈演愈烈,网络安全事件发生的频率不断加大,网络攻击也变得越来越频繁。因此,研究网络安全事件分析技术对于维护网络安全具有很大的意义。只有精准识别安全事件的类型,分析其行为才能采取针对性的有效处置措施,制止安全事件的继续发生。
相关技术中的网络安全事件分析技术主要以日志文件分析为主,且一般通过单一数据源对安全事件的发生过程进行判断,然而,在有限数据源的基础上很难对全局情况下的安全事件发生过程进行分析与了解,难以推断存在的安全薄弱环节与攻击者的准确侵入点,因此计算机的网络安全性较低。
目前针对相关技术中因通过单一数据源对安全事件的发生过程进行判断导致的计算机的网络安全性低的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于多源数据的安全事件分析方法、装置、电子装置和存储介质,以至少解决相关技术中因通过单一数据源对安全事件的发生过程进行判断导致的计算机的网络安全性低的问题。
第一方面,本申请实施例提供了一种基于多源数据的安全事件分析方法,包括:从计算机的多个数据源获取数据源信息;从所述数据源信息中提取与安全事件相关的特征信息;使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,所述预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息;在从所述预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
在其中一些实施例中,从计算机的多个数据源获取数据源信息包括:从所述计算机的操作系统提供的API接口中获取多个数据源的数据源信息;和/或分别从所述计算机的多个数据源位置和/或注册表的多个位置获取对应每个数据源位置和/或注册表的每个位置的数据源信息。
在其中一些实施例中,所述数据源信息包括以下至少之一:系统日志、应用程序日志、安全日志、网络日志、硬件事件日志。
在其中一些实施例中,在所述数据源信息为系统日志的情况下,提取到的特征信息包括相同IP的远程多次登录信息;在所述数据源信息为应用程序日志的情况下,提取到的特征信息包括以下至少之一:应用程序访问信息、应用程序打开记录;在所述数据源信息为安全日志的情况下,提取到的特征信息包括以下至少之一:登录IP地址、登录时间、登录用户、登录用户群组;在所述数据源信息为网络日志的情况下,提取到的特征信息包括以下至少之一:连接IP地址、本地端口、本地进程、文件路径;在所述数据源信息为硬件事件日志的情况下,提取到的特征信息包括以下至少之一:硬件设备受损信息、硬件维修信息。
在其中一些实施例中,使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件包括:使用提取到的特征信息在预先设定的安全事件模型中和与每种安全事件对应的多个特征信息进行匹配,其中,在所述提取到的特征信息和与安全事件对应的每个特征信息均一致的情况下,将所述安全事件作为所述提取到的特征信息匹配到的安全事件。
在其中一些实施例中,在从所述预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息包括:根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定所述与安全事件对应的特征信息的生成时间顺序;根据所述与安全事件对应的特征信息的生成时间顺序,确定所述安全事件的过程信息。
在其中一些实施例中,根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息包括:根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定所有安全事件的发生事件顺序;根据所述所有安全事件的发生事件顺序,确定攻击过程信息。
第二方面,本申请实施例提供了一种基于多源数据的安全事件分析装置,包括:获取模块,用于从计算机的多个数据源获取数据源信息;提取模块,用于从所述数据源信息中提取与安全事件相关的特征信息;匹配模块,用于使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,所述预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息;输出模块,用于在从所述预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于多源数据的安全事件分析方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于多源数据的安全事件分析方法。
相比于相关技术,本申请实施例提供的基于多源数据的安全事件分析方法、装置、电子装置和存储介质,解决了相关技术中因通过单一数据源对安全事件的发生过程进行判断导致的计算机的网络安全性低的问题,实现了提高计算机的网络安全性的技术效果。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于多源数据的安全事件分析方法的流程图;
图2是根据本申请实施例的基于多源数据的安全事件分析装置的结构框图;
图3是根据本申请实施例的电子装置的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种基于多源数据的安全事件分析方法,图1是根据本申请实施例的基于多源数据的安全事件分析方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,从计算机的多个数据源获取数据源信息。
在本实施例中,通过从计算机的多个数据源中获取数据源信息,根据多个数据源的数据源信息对安全事件进行识别和分析,保障了安全事件识别的准确度,确保分析的安全事件过程信息的完整性,其中,数据源可以为计算机中任意一个安全事件可能遗留痕迹的位置。
在其中一个实施例中,从计算机的多个数据源获取数据源信息包括:从计算机的操作系统提供的API接口中获取多个数据源的数据源信息;和/或分别从计算机的多个数据源位置和/或注册表的多个位置获取对应每个数据源位置和/或注册表的每个位置的数据源信息。
在本实施例中,从计算机的多个数据源获取数据源信息的方法可以分为两种,一种为通过计算机的操作系统提供的API接口中获取多个数据源的数据源信息,另一种为从计算机的多个数据源位置和/或注册表的多个位置获取对应每个数据源位置和/或注册表的每个位置的数据源信息,其中,注册表用于存储系统和应用程序的设置信息,从注册表各个位置中可以获得应用程序信息、任务栏信息、显示属性信息、硬件配置信息、设备管理信息、历史记录信息等等,历史记录信息又包括使用者的各种记录,例如最近打开的文档、程序、查找过的文件。因此,从注册表中的多个位置可以获取各类数据源信息。
在其中一个实施例中,数据源信息包括以下至少之一:系统日志、应用程序日志、安全日志、网络日志、硬件事件日志。
在本实施例中,系统日志可以为记录系统中硬件、软件和系统报错的日志,通过系统日志可以了解安全事件或者系统报错发生之前的所有事件,例如:通过系统日志可以查找操作系统的错误或异常记录,还可以查找用户登录操作系统的记录;应用程序日志记录应用程序负责的大量终端用户活动,可以通过应用程序日志查找应用程序的访问信息、打开记录、报错信息;安全日志会记录计算机每次开关机、运行程序以及系统报错,因此,通过安全日志可以获得操作系统的登录信息、操作系统的报错信息;网络日志记录了用户访问的网站、使用网络的应用程序以及网络连接状态;硬件事件记录则记录了硬件设备受损信息、硬件维修信息。
步骤S102,从数据源信息中提取与安全事件相关的特征信息。
在本实施例中,提取的与安全事件相关的特征信息还可以存储进一个预设的待分析数据库中,提取的特征信息可以是针对每种数据源的提取规则范式,通过将多个数据源信息规范化,提高了后续通过数据源信息分析安全事件的效率。
在其中一个实施例中,在数据源信息为系统日志的情况下,提取到的特征信息包括相同IP的远程多次登录信息;在数据源信息为应用程序日志的情况下,提取到的特征信息包括以下至少之一:应用程序访问信息、应用程序打开记录;在数据源信息为安全日志的情况下,提取到的特征信息包括以下至少之一:登录IP地址、登录时间、登录用户、登录用户群组;在数据源信息为网络日志的情况下,提取到的特征信息包括以下至少之一:连接IP地址、本地端口、本地进程、文件路径;在数据源信息为硬件事件日志的情况下,提取到的特征信息包括以下至少之一:硬件设备受损信息、硬件维修信息。
在本实施例中,提取的与安全事件相关的特征信息可以为预设时间内的特征信息,例如,从数据源信息中提取与安全事件相关的生成时间在十天以内的特征信息,避免出现提取已生成时间太长的特征信息导致后续通过数据源信息分析安全事件出错的问题。
在其他实施例中,该预设时间还可以为其他长度,例如一小时、一天等。
步骤S103,使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息。
在本实施例中,安全事件模型可以为匹配模板模型也可以为机器学习模型,在安全事件模型为机器学习模型的情况下,安全事件模型是以与安全事件的特征信息为输入,以与特征信息对应的实际发生的安全事件为监督,训练得到的。
在其中一个实施例中,使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件包括:使用提取到的特征信息在预先设定的安全事件模型中和与每种安全事件对应的多个特征信息进行匹配,其中,在提取到的特征信息和与安全事件对应的每个特征信息均一致的情况下,将安全事件作为提取到的特征信息匹配到的安全事件。
在本实施例中,与安全事件对应的特征信息可以有多个,例如在与安全事件对应的特征信息有10个的情况下,将提取到的特征信息在预先设定的安全事件模型中和与该安全事件对应的10个特征信息进行匹配,在提取到的特征信息与10个特征信息均一致的情况下,将该安全事件作为提取到的特征信息匹配到的安全事件。
在其他实施例中,还可以在提取到的特征信息与大于等于预设数量的特征信息均一致的情况下,将该安全事件作为提取到的特征信息匹配到的安全事件,例如,在与安全事件对应的特征信息有10个的情况下,将提取到的特征信息在预先设定的安全事件模型中和与该安全事件对应的10个特征信息进行匹配,在提取到的特征信息与大于等于8个特征信息均一致的情况下,将该安全事件作为提取到的特征信息匹配到的安全事件。
步骤S104,在从预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
在其中一个实施例中,在从预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息包括:根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定与安全事件对应的特征信息的生成时间顺序;根据与安全事件对应的特征信息的生成时间顺序,确定安全事件的过程信息。
在其中一个实施例中,根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息包括:根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定所有安全事件的发生事件顺序;根据所有安全事件的发生事件顺序,确定攻击过程信息。
在本实施例中,通过提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息,识别计算机中目前发生的安全事件,通过安全事件的过程信息对安全事件的发生过程进行还原显示,通过攻击过程信息对攻击链路进行标明,可以为网络安全事件的应急处置工作提供重要支撑。
目前相关技术中的网络安全事件分析技术主要以日志文件分析为主,且一般通过单一数据源对安全事件的发生过程进行判断,然而,在有限数据源的基础上很难对全局情况下的安全事件发生过程进行分析与了解,难以推断存在的安全薄弱环节与攻击者的准确侵入点,因此计算机的网络安全性较低。
通过上述步骤S101至S104,通过获取计算机的多个数据源的数据源信息,对数据源信息进行综合分析、互相关联,将数据源信息在安全事件模型中进行匹配,并通过安全事件的过程信息对安全事件的发生过程进行还原显示,通过攻击过程信息对攻击链路进行标明,可有效地对在全局情况下对安全事件发生过程进行解析与掌控并推断计算机存在的安全薄弱环节与攻击者的准确侵入点,解决了相关技术中因通过单一数据源对安全事件的发生过程进行判断导致的计算机的网络安全性低的问题,实现了提高计算机的网络安全性的技术效果。
本实施例还提供了一种基于多源数据的安全事件分析装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本申请实施例的基于多源数据的安全事件分析装置的结构框图,如图2所示,该装置包括:获取模块20,用于从计算机的多个数据源获取数据源信息;提取模块21,用于从数据源信息中提取与安全事件相关的特征信息;匹配模块22,用于使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息;输出模块23,用于在从预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
在其中一个实施例中,获取模块20被配置为用于从计算机的操作系统提供的API接口中获取多个数据源的数据源信息;和/或分别从计算机的多个数据源位置和/或多个注册表位置获取对应每个数据源位置和/或每个注册表位置的数据源信息。
在其中一个实施例中,数据源信息包括以下至少之一:系统日志、应用程序日志、安全日志、网络日志、硬件事件日志。
在其中一个实施例中,在数据源信息为系统日志的情况下,提取到的特征信息包括相同IP的远程多次登录信息;在数据源信息为应用程序日志的情况下,提取到的特征信息包括以下至少之一:应用程序访问信息、应用程序打开记录;在数据源信息为安全日志的情况下,提取到的特征信息包括以下至少之一:登录IP地址、登录时间、登录用户、登录用户群组;在数据源信息为网络日志的情况下,提取到的特征信息包括以下至少之一:连接IP地址、本地端口、本地进程、文件路径;在数据源信息为硬件事件日志的情况下,提取到的特征信息包括以下至少之一:硬件设备受损信息、硬件维修信息。
在其中一个实施例中,匹配模块22被配置为用于使用提取到的特征信息在预先设定的安全事件模型中和与每种安全事件对应的多个特征信息进行匹配,其中,在提取到的特征信息和与安全事件对应的每个特征信息均一致的情况下,将安全事件作为提取到的特征信息匹配到的安全事件。
在其中一个实施例中,输出模块23还被配置为用于根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定与安全事件对应的特征信息的生成时间顺序;根据与安全事件对应的特征信息的生成时间顺序,确定安全事件的过程信息。
在其中一个实施例中,输出模块23还被配置为用于根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定所有安全事件的发生事件顺序;根据所有安全事件的发生事件顺序,确定攻击过程信息。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器304和处理器302,该存储器304中存储有计算机程序,该处理器302被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
具体地,上述处理器302可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器304可以包括用于数据或指令的大容量存储器304。举例来说而非限制,存储器304可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(Solid State Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(UniversalSerial Bus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器304可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器304可在数据处理装置的内部或外部。在特定实施例中,存储器304是非易失性(Non-Volatile)存储器。在特定实施例中,存储器304包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(Random Access Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(ErasableProgrammable Read-Only Memory,简称为EPROM)、电可擦除PROM(Electrically ErasableProgrammable Read-Only Memory,简称为EEPROM)、电可改写ROM(ElectricallyAlterable Read-Only Memory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-AccessMemory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器304(Fast Page Mode DynamicRandom Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(ExtendedDate Out Dynamic Random Access Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器304可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器302所执行的可能的计算机程序指令。
处理器302通过读取并执行存储器304中存储的计算机程序指令,以实现上述实施例中的任意一种基于多源数据的安全事件分析方法。
可选地,上述电子装置还可以包括传输设备306以及输入输出设备308,其中,该传输设备306和上述处理器302连接,该输入输出设备308和上述处理器302连接。
可选地,在本实施例中,上述处理器302可以被设置为通过计算机程序执行以下步骤:
S1,从计算机的多个数据源获取数据源信息。
S2,从数据源信息中提取与安全事件相关的特征信息。
S3,使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息。
S4,在从预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的基于多源数据的安全事件分析方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种基于多源数据的安全事件分析方法。
本领域的技术人员应该明白,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于多源数据的安全事件分析方法,其特征在于包括:
从计算机的多个数据源获取数据源信息;
从所述数据源信息中提取与安全事件相关的特征信息;
使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,所述预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息;
在从所述预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
2.根据权利要求1所述的基于多源数据的安全事件分析方法,其特征在于,从计算机的多个数据源获取数据源信息包括:
从所述计算机的操作系统提供的API接口中获取多个数据源的数据源信息;
和/或分别从所述计算机的多个数据源位置和/或注册表的多个位置获取对应每个数据源位置和/或注册表的每个位置的数据源信息。
3.根据权利要求1所述的基于多源数据的安全事件分析方法,其特征在于,
所述数据源信息包括以下至少之一:系统日志、应用程序日志、安全日志、网络日志、硬件事件日志。
4.根据权利要求3所述的基于多源数据的安全事件分析方法,其特征在于,
在所述数据源信息为系统日志的情况下,提取到的特征信息包括相同IP的远程多次登录信息;
在所述数据源信息为应用程序日志的情况下,提取到的特征信息包括以下至少之一:应用程序访问信息、应用程序打开记录;
在所述数据源信息为安全日志的情况下,提取到的特征信息包括以下至少之一:登录IP地址、登录时间、登录用户、登录用户群组;
在所述数据源信息为网络日志的情况下,提取到的特征信息包括以下至少之一:连接IP地址、本地端口、本地进程、文件路径;
在所述数据源信息为硬件事件日志的情况下,提取到的特征信息包括以下至少之一:硬件设备受损信息、硬件维修信息。
5.根据权利要求1所述的基于多源数据的安全事件分析方法,其特征在于,使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件包括:
使用提取到的特征信息在预先设定的安全事件模型中和与每种安全事件对应的多个特征信息进行匹配,其中,在所述提取到的特征信息和与安全事件对应的每个特征信息均一致的情况下,将所述安全事件作为所述提取到的特征信息匹配到的安全事件。
6.根据权利要求1所述的基于多源数据的安全事件分析方法,其特征在于,在从所述预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息包括:
根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定所述与安全事件对应的特征信息的生成时间顺序;
根据所述与安全事件对应的特征信息的生成时间顺序,确定所述安全事件的过程信息。
7.根据权利要求1所述的基于多源数据的安全事件分析方法,其特征在于,根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息包括:
根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定所有安全事件的发生事件顺序;
根据所述所有安全事件的发生事件顺序,确定攻击过程信息。
8.一种基于多源数据的安全事件分析装置,其特征在于,包括:
获取模块,用于从计算机的多个数据源获取数据源信息;
提取模块,用于从所述数据源信息中提取与安全事件相关的特征信息;
匹配模块,用于使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件,其中,所述预先设定的安全事件模型包括:预先设定的多种安全事件及分别与每种安全事件对应的特征信息;
输出模块,用于在从所述预先设定的安全事件模型中匹配到安全事件的情况下,根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间,确定安全事件的过程信息,并根据匹配到的所有安全事件的过程信息及安全事件的发生时间,确定攻击过程信息。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的基于多源数据的安全事件分析方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的基于多源数据的安全事件分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010722605.7A CN111885064B (zh) | 2020-07-24 | 2020-07-24 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010722605.7A CN111885064B (zh) | 2020-07-24 | 2020-07-24 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111885064A CN111885064A (zh) | 2020-11-03 |
| CN111885064B true CN111885064B (zh) | 2022-11-25 |
Family
ID=73200448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010722605.7A Active CN111885064B (zh) | 2020-07-24 | 2020-07-24 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111885064B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800107B (zh) * | 2021-01-18 | 2023-02-03 | 湖北宸威玺链信息技术有限公司 | 一种数据源安全鉴别方法及系统及装置及介质 |
| CN113037774B (zh) * | 2021-03-31 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种安全管理方法、装置、设备及机器可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
| CN111344721A (zh) * | 2017-11-13 | 2020-06-26 | 国际商业机器公司 | 使用认知计算的异常检测 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11941054B2 (en) * | 2018-10-12 | 2024-03-26 | International Business Machines Corporation | Iterative constraint solving in abstract graph matching for cyber incident reasoning |
-
2020
- 2020-07-24 CN CN202010722605.7A patent/CN111885064B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| CN111344721A (zh) * | 2017-11-13 | 2020-06-26 | 国际商业机器公司 | 使用认知计算的异常检测 |
| CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111885064A (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| He et al. | An evaluation study on log parsing and its use in log mining | |
| CN110929036B (zh) | 电力营销稽查管理方法、装置、计算机设备和存储介质 | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| CN111177714B (zh) | 异常行为检测方法、装置、计算机设备和存储介质 | |
| US9876813B2 (en) | System and method for web-based log analysis | |
| US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
| CN111885064B (zh) | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 | |
| WO2019169760A1 (zh) | 测试用例范围确定方法、装置及存储介质 | |
| US20140164350A1 (en) | Direct page view measurement tag placement verification | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN110990362A (zh) | 日志查询处理方法、装置、计算机设备和存储介质 | |
| CN114077525A (zh) | 异常日志处理方法、装置、终端设备、云服务器及系统 | |
| CN109542764B (zh) | 网页自动化测试方法、装置、计算机设备和存储介质 | |
| CN110990365A (zh) | 一种数据同步方法、装置、服务器及存储介质 | |
| CN113162794A (zh) | 下一步攻击事件预测方法及相关设备 | |
| CN111371757B (zh) | 恶意通信检测方法、装置、计算机设备和存储介质 | |
| CN109582504A (zh) | 一种用于苹果设备的数据恢复方法和装置 | |
| CN115033876A (zh) | 日志处理方法、日志处理装置、计算机设备及存储介质 | |
| CN113282920A (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN111413952B (zh) | 机器人故障检测方法、装置、电子设备及可读存储介质 | |
| CN116662987A (zh) | 业务系统监控方法、装置、计算机设备及存储介质 | |
| CN110838940A (zh) | 地下电缆巡检任务配置方法和装置 | |
| WO2019062087A1 (zh) | 考勤数据测试方法、终端、设备以及计算机可读存储介质 | |
| CN111444093B (zh) | 项目开发过程质量的确定方法、装置、计算机设备 | |
| CN112215067A (zh) | 保护动作分析方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310051 5 / F, building 1, 188 Lianhui street, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Anheng Information Security Technology Co.,Ltd. Address before: 310051 5 / F, building 1, 188 Lianhui street, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Zhejiang jundun Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |